SIEM在《我的信息保護法》中的重要性

《我的信息保護法》（POPIA）的一個重要方面是向有關部門通報相關數據及安全漏洞（未經受權的我的數據暴露）。從歐盟（GDPR）到美國（CCPA），再到巴西，菲律賓和澳大利亞，世界各地的幾項數據保護法規都規定了數據泄露通知。目的是使企業對我的數據的保護負責，並對數據隱私負責。這就是爲何不遵照POPIA可能致使最高1000萬罰款。

組織應該作什麼？

根據 POPIA的第22節，涉及安全漏洞的通知，組織必須將未經受權的我的數據訪問及獲取通知利益相關者。根據具體狀況，該通知必須以物理或電子方式發送給數據主體，在組織的網站上發佈或向媒體宣佈。須要注意的重要一點是，通知不只僅是讓利益相關者收知信息。該通知還必須彙總違規的重要細節，例如：

可能引發的後果或危險。
爲解決違規行爲而採起的措施。
關於數據主體如何保護本身的建議。
進行***的犯罪者的身份（若是被發現）。

有關更多詳細信息，請參見官方頁面 。爲了達到這些要求，組織必須實施技術措施（安全解決方案和流程）以保護我的數據在收集，處理和存儲期間的安全。

使用安全監視技術保護網絡免受破壞

首先，組織必須部署預防性安全控制措施（例如按期修補其系統，配置防火牆策略和將應用程序列入白名單）來減小遭到破壞的機會。可是，預防性安全解決方案不能保證100％的安全性，組織必須準備好檢測並緩解不可避免地繞過預防性措施的安全事件。

監視網絡可使您在早期階段迅速識別出***，從而幫助您阻止***嘗試爲時已晚。即便在最壞的數據泄露狀況下，您也能夠進行損壞控制並收集在報告安全漏洞時必須提供的重要法證證據。

請記住，安全漏洞的通知必須包含有關事件的重要詳細信息，包括已採起的補救措施。所以，鑑於POPIA，網絡日誌以及安全信息和事件管理（SIEM）相當重要。您能夠從四個方面當即開始監視以提升安全性：

1.數據訪問和修改：
經過跟蹤未經受權的USB，打印機和電子郵件活動，經過防止數據泄漏的措施來加強這一功能。

2.活動目錄更改審覈：
跟蹤對用戶，計算機，組，OU和GPO所作的更改。

3.網絡外部監視：
審覈傳入和傳出流量，並注意惡意通訊。

4.用戶活動監視：
跟蹤用戶執行的操做，例如登陸和文件訪問，尤爲是那些有權訪問關鍵資源的用戶。注意事件的異常模式。

爲何集中監控如此重要？

SIEM解決方案能夠幫助您瞭解網絡中發生的重要安全事件。這樣，您能夠及早發現潛在的安全事件，快速調查該事件，並在爲時已晚以前解決此問題。

可考慮如下用例：

經過將該用戶添加到Active Directory中的Enterprise Admin組，能夠升級員工的域特權。此類事件可能會提供未經受權的訪問，從而可能危及您的安全系統。

在非工做時間內，多個賬戶發生屢次失敗的登陸。這多是密碼***。

網絡中的受感染主機正在與回調服務器通訊。敏感數據可能已從您的公司網絡中被盜。
您是否能夠在組織中處理此類案件？必須當即查明並阻止此類案件。隨着POPIA的實施，如今是評估您的安全情況並加強監視措施的好時機。

必備的SIEM功能

SIEM解決方案是在組織中實施端到端安全監視的理想方法。爲了幫助您入門，這是您必須實現的SIEM功能列表：

日誌聚合：集中來自服務器，應用程序，防火牆，數據庫以及網絡中全部其餘重要組件的日誌。

日誌存檔：安全地存儲日誌，以便在發現違規行爲時能夠進行法醫調查。

審覈報告生成：安排每日報告以審覈感興趣的安全事件並發現可疑事件。

警報：設置警報以指示威脅，以當即發現安全威脅。

文件完整性監視：跟蹤全部更改-文件，文件夾的訪問，建立，刪除，修改和重命名。

行爲分析：分析用戶和系統行爲，以發現異常活動，這些活動是***的典型標誌。

威脅情報：與威脅情報摘要同步，以檢測與列入黑名單的IP，域和URL的網絡通訊。

事件管理：利用自動化工做流等技術簡化事件的調查，管理和響應過程。

使用ManageEngine Log360緩解數據泄露

Log360是一個全面的SIEM解決方案，能夠分析整個網絡中的日誌，以幫助您的組織保持安全並符合POPIA。